百度360必应搜狗淘宝本站头条
php redisredis 命令redis 锁redis 主从redis 删除
当前位置:网站首页 > 技术教程 > 正文

Spring Boot 如何基于Redis来实现接口调用频率限制?

mhr18 2024-11-24 18:44 20 浏览 0 评论

基于Redis实现接口调用频率限制是一种常见的解决方案,一般情况下通过这种方式来防止接口被频繁请求、防止恶意攻击或流量控制。我们可以通过使用Redis的自增操作来记录每个请求者的调用次数,设置过期时间来表示一个时间窗口如1秒或1分钟,并对每个请求者的调用频率进行限制。下面我们就来看看如何在SpringBoot中通过Redis来实现一个接口限流操作。

添加依赖

首先,需要在项目中添加Redis相关的依赖配置,如下所示。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

在application.yml配置文件中添加Redis连接配置信息,如下。

spring:
  redis:
    host: localhost
    port: 6379

编写限流逻辑

一般情况下,我们可以通过Redis的INCR和EXPIRE操作来实现限流操作,主要原理就是每个请求者可以通过 IP、用户 ID 等标识,然后通过INCR计数请求次数,通过EXPIRE设置过期时间,用于定义时间窗口。超过设定的请求次数后,拒绝请求并返回提示。

创建Redis工具类

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;

import java.util.concurrent.TimeUnit;

@Component
public class RedisRateLimiter {

    @Autowired
    private StringRedisTemplate redisTemplate;

    /**
     * 尝试增加请求计数并判断是否超过限制
     * @param key Redis的键值, 可以是IP或用户标识
     * @param limit 限制的最大请求数
     * @param timeout 超时时间窗口, 单位秒
     * @return 是否超限, 超过返回true
     */
    public boolean isOverLimit(String key, int limit, long timeout) {
        Long count = redisTemplate.opsForValue().increment(key, 1);
        
        // 如果第一次调用,设置过期时间
        if (count == 1) {
            redisTemplate.expire(key, timeout, TimeUnit.SECONDS);
        }
        
        // 判断是否超过限制
        return count > limit;
    }
}

创建限流注解

为了在程序代码中方便使用,我们可以自定义一个注解来实现限流操作,如下所示。

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target({ElementType.METHOD})  // 作用在方法上
@Retention(RetentionPolicy.RUNTIME)
public @interface RateLimit {
    int limit() default 5;  // 默认每秒5次
    int timeout() default 1;  // 默认1秒
}

创建注解处理器

通过AOP操作来拦截带有@RateLimit注解的方法,然后对其进行限流操作处理。

import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;

@Aspect
@Component
public class RateLimitAspect {

    @Autowired
    private RedisRateLimiter redisRateLimiter;

    @Around("@annotation(rateLimit)")
    public Object around(ProceedingJoinPoint joinPoint, RateLimit rateLimit) throws Throwable {
        // 获取请求IP或用户标识
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        String ip = request.getRemoteAddr();

        // 生成Redis的Key,可以是IP或其他用户标识
        String key = "rate_limit:" + ip;

        // 判断是否超过限制
        if (redisRateLimiter.isOverLimit(key, rateLimit.limit(), rateLimit.timeout())) {
            // 如果超过限制,可以抛出异常或返回特定的响应
            return "Too many requests, please try again later.";
        }

        // 执行原方法
        return joinPoint.proceed();
    }
}

这里需要注意,通过上面这种方式有可能会存在获取不到真实的用户IP的情况,尤其是在应用部署在反向代理服务器(如 Nginx、Apache)或负载均衡器之后的时候。HttpServletRequest.getRemoteAddr()获取到的可能是代理服务器的 IP 地址,而不是客户端的真实IP。这种情况下,如果直接使用getRemoteAddr(),限流机制就可能基于代理服务器的IP,而不是每个用户的IP,导致限流不准确。

为了获取用户的真实IP地址,通常需要检查HTTP请求头中是否包含真实IP地址。常见的HTTP头字段包括如下几种方式。

  • X-Forwarded-For:通常用于记录客户端的原始 IP 地址,多个代理服务器之间可能会添加多个 IP 地址,客户端的真实 IP 是第一个。
  • X-Real-IP:部分代理服务器也可能使用这个头字段传递客户端的真实 IP。

改进获取真实用户IP的代码

import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;

@Aspect
@Component
public class RateLimitAspect {

    @Autowired
    private RedisRateLimiter redisRateLimiter;

    @Around("@annotation(rateLimit)")
    public Object around(ProceedingJoinPoint joinPoint, RateLimit rateLimit) throws Throwable {
        // 获取请求对象
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        
        // 获取客户端的真实IP地址
        String ip = getClientIP(request);

        // 生成Redis的Key,可以是IP或其他用户标识
        String key = "rate_limit:" + ip;

        // 判断是否超过限制
        if (redisRateLimiter.isOverLimit(key, rateLimit.limit(), rateLimit.timeout())) {
            // 如果超过限制,可以抛出异常或返回特定的响应
            return "Too many requests, please try again later.";
        }

        // 执行原方法
        return joinPoint.proceed();
    }

    /**
     * 获取客户端真实IP
     * @param request HttpServletRequest 对象
     * @return 真实的客户端IP
     */
    private String getClientIP(HttpServletRequest request) {
        String ip = request.getHeader("X-Forwarded-For");
        if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("X-Real-IP");
        }
        if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }

        // X-Forwarded-For可能返回多个IP地址,第一个为真实IP
        if (ip != null && ip.contains(",")) {
            ip = ip.split(",")[0].trim();
        }
        
        return ip;
    }
}

如果使用了Nginx作为反向代理,确保在Nginx中配置了传递真实IP的相关配置,如下所示。

server {
    listen 80;

    location / {
        proxy_pass http://localhost:8080;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
    }
}

总结

通过Redis实现接口的调用频率限制具有高效性和分布式支持的特点,适用于高并发的场景。这个方案利用了Redis的自增和过期时间功能来记录请求次数,并限制请求频率。此外,使用自定义注解和AOP让限流逻辑更为简洁易用。这种方式可以很好地实现基于Redis的限流,避免了接口被滥用。

相关推荐

【推荐】一个开源免费、AI 驱动的智能数据管理系统,支持多数据库

如果您对源码&技术感兴趣,请点赞+收藏+转发+关注,大家的支持是我分享最大的动力!!!.前言在当今数据驱动的时代,高效、智能地管理数据已成为企业和个人不可或缺的能力。为了满足这一需求,我们推出了这款开...

Pure Storage推出统一数据管理云平台及新闪存阵列

PureStorage公司今日推出企业数据云(EnterpriseDataCloud),称其为组织在混合环境中存储、管理和使用数据方式的全面架构升级。该公司表示,EDC使组织能够在本地、云端和混...

对Java学习的10条建议(对java课程的建议)

不少Java的初学者一开始都是信心满满准备迎接挑战,但是经过一段时间的学习之后,多少都会碰到各种挫败,以下北风网就总结一些对于初学者非常有用的建议,希望能够给他们解决现实中的问题。Java编程的准备:...

SQLShift 重大更新:Oracle→PostgreSQL 存储过程转换功能上线!

官网:https://sqlshift.cn/6月,SQLShift迎来重大版本更新!作为国内首个支持Oracle->OceanBase存储过程智能转换的工具,SQLShift在过去一...

JDK21有没有什么稳定、简单又强势的特性?

佳未阿里云开发者2025年03月05日08:30浙江阿里妹导读这篇文章主要介绍了Java虚拟线程的发展及其在AJDK中的实现和优化。阅前声明:本文介绍的内容基于AJDK21.0.5[1]以及以上...

「松勤软件测试」网站总出现404 bug?总结8个原因,不信解决不了

在进行网站测试的时候,有没有碰到过网站崩溃,打不开,出现404错误等各种现象,如果你碰到了,那么恭喜你,你的网站出问题了,是什么原因导致网站出问题呢,根据松勤软件测试的总结如下:01数据库中的表空间不...

Java面试题及答案最全总结(2025版)

大家好,我是Java面试陪考员最近很多小伙伴在忙着找工作,给大家整理了一份非常全面的Java面试题及答案。涉及的内容非常全面,包含:Spring、MySQL、JVM、Redis、Linux、Sprin...

数据库日常运维工作内容(数据库日常运维 工作内容)

#数据库日常运维工作包括哪些内容?#数据库日常运维工作是一个涵盖多个层面的综合性任务,以下是详细的分类和内容说明:一、数据库运维核心工作监控与告警性能监控:实时监控CPU、内存、I/O、连接数、锁等待...

分布式之系统底层原理(上)(底层分布式技术)

作者:allanpan,腾讯IEG高级后台工程师导言分布式事务是分布式系统必不可少的组成部分,基本上只要实现一个分布式系统就逃不开对分布式事务的支持。本文从分布式事务这个概念切入,尝试对分布式事务...

oracle 死锁了怎么办?kill 进程 直接上干货

1、查看死锁是否存在selectusername,lockwait,status,machine,programfromv$sessionwheresidin(selectsession...

SpringBoot 各种分页查询方式详解(全网最全)

一、分页查询基础概念与原理1.1什么是分页查询分页查询是指将大量数据分割成多个小块(页)进行展示的技术,它是现代Web应用中必不可少的功能。想象一下你去图书馆找书,如果所有书都堆在一张桌子上,你很难...

《战场兄弟》全事件攻略 一般事件合同事件红装及隐藏职业攻略

《战场兄弟》全事件攻略,一般事件合同事件红装及隐藏职业攻略。《战场兄弟》事件奖励,事件条件。《战场兄弟》是OverhypeStudios制作发行的一款由xcom和桌游为灵感来源,以中世纪、低魔奇幻为...

LoadRunner(loadrunner录制不到脚本)

一、核心组件与工作流程LoadRunner性能测试工具-并发测试-正版软件下载-使用教程-价格-官方代理商的架构围绕三大核心组件构建,形成完整测试闭环:VirtualUserGenerator(...

Redis数据类型介绍(redis 数据类型)

介绍Redis支持五种数据类型:String(字符串),Hash(哈希),List(列表),Set(集合)及Zset(sortedset:有序集合)。1、字符串类型概述1.1、数据类型Redis支持...

RMAN备份监控及优化总结(rman备份原理)

今天主要介绍一下如何对RMAN备份监控及优化,这里就不讲rman备份的一些原理了,仅供参考。一、监控RMAN备份1、确定备份源与备份设备的最大速度从磁盘读的速度和磁带写的带度、备份的速度不可能超出这两...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表